Приветствую!
Намедни читаю в логах
Mar 5 07:31:49 login: FAILED LOGIN 1 FROM (null) FOR =mlp5".;^A`:HzUO|^G%p]^Xvg^O{he==хtb~zO*^GX^E^B%V9J^L^BK()JJ=Lu(&Yq2^I"H7{Ov!H, User not known to the underlying authentication module
Mar 5 07:31:52 login: FAILED LOGIN 2 FROM (null) FOR Гъ:муГяє;hЈжсiЩ^[\E‚“°Ћ•®p4#^Sх®›i7_.°Я#XsВЊp°·4хЈu^L0Уz@N°^QЛ^G>У®уюў$юNY*–~кхmІ5^BТK“c9ц^Yr}/ё[Sі, User not known to the underlying authentication module
Mar 5 07:31:54 PAM_pwdb[7881]: check pass; user unknown
Mar 5 07:31:56 login[7881]: FAILED LOGIN 3 FROM (null) FOR ZО¤е‰оэ^V4Вcjю?Z^KRђџђо^_ё†‹ru’—юћл^N>雴Pб/mфA^Tв^GЖОЖF°Х…Й6’f2Ц^V^A«ы@Lі¦, User not known to the underlying authentication module
Mar 5 07:31:57 login[7881]: FAILED LOGIN SESSION FROM (null) FOR юЛaН^Y3иМ , User not known to the underlying authentication module
Решил посмотреть last -20 и вижу:
wtmp begins Tue Mar 5 07:31:47 2002
Совпадение даты и времени, очевидно, не случайное. Но ни каких других признаков постороннего присутствия не наблюдается. Нету лишних сервисов, файлов, система работает нормально.
Теперь мучаюсь - таки взломали или нет? Как бы в этот вопрос внести определенность?
Система - RH 6.2, 2.2.20, OpenSSH 3.0.2p1, Squid 2.4ST3, Qmail, BIND 9.2.0. Более ни чего.
Вроде, все последнее. Через какую дырку могли залезть?
А почему у первых login в логе нету [PID]?
Вариант для распечатки
Информационная безопасность (Public)
on
07-Мрт-02, 02:37 (MSK)
